本帖最后由 失神我醉了 于 2024-3-22 14:40 编辑
最近迷上了DOTA2游廊里的一款游戏,但是太肝了,想着能不能用脚本帮我玩,于是去gayhub一顿搜,还真被我找到了,但是要激活码。。。还是你们会玩,专薅同行羊毛。。
看着这license,我想着python写的,应该好搞吧。。。但是网上有用信息真少,此文记录一下遇到的坑。
exe文件,首先用exeinfoPE 查壳
可以看到是pyinstaller打包的,无壳。
破解思路
1. 直接动态调试exe文件,patch激活逻辑。
2. 既然python写的,直接反编译成源码。
关于方式1,我沉浸在python虚拟机里无法自拔,没有找到真正的程序入口。。。(太菜了),用x64dbg调试,尝试过在按钮控件下断点(没啥用),希望有经验大佬分享一下。
代码还原
本文主要讨论的是方式2。
根据网上搜到的经验,可以用pyinstxtractor.py 解包脚本进行解包,这里最好下载和源码相同的python环境,不然会出问题。
解包后,接下来就是还原源代码,这里有些坑,根据程序执行流程,我们找到与license激活的pyc文件进行源代码还原。
因为python是3.10,根据公开资料,可以找到gayhub上的pycdc项目进行源代码还原,但是如果你去试,会发现还原不全。
依照pycdc的issue,主要原因是一些opcodes支持不全。
但是pycdas 完全支持,也就是说可以完美翻译为字节码。
所以用pycdas直接将pyc翻译成字节码。字节码当然可以直接分析的,对于大佬来说应该不难,但对于我这种小白就很痛苦,那有没有优雅的做法?
还真被我找到了,我直接将字节码喂给chatgpt,让他帮我还原为源代码。就这么简单,惊不惊喜。。。感叹gpt是真的牛逼
import json
import os
import sys
import machineid
import requests
from dateutil.parser import parse
from controller import ConfigManager
from controller.filelog import logger
from controller.global_variables import config, path, path_rau_ma
license_key = ''
try:
license_key = config.read_config('AutoConfig', 'license')
except:
pass
if not license_key:
config.save_config('AutoConfig', 'license', '2024')
days_left = 0
machine_fingerprint = machineid.id()
def activate_license(license_key):
try:
validation = requests.get(f'https://xxxx.net/api/license/{license_key}').json()
# License not found
if not validation:
logger.info('License not found')
days_left = 0
return False, days_left
for key in validation:
if key['detail'] == 'License not found':
logger.info('License not found')
days_left = 0
return False, days_left
datenow = parse(validation['datenow'])
expire_date = parse(validation['expire_date'])
days_left = (expire_date - datenow).days
global days_left
if days_left < 0:
days_left = 0
return False, days_left
for key in validation['machines']:
if key['machine_uuid'] == machine_fingerprint:
global days_left
days_left = True, days_left
return True, days_left
return False, days_left
except Exception as e:
return False, days_left
if __name__ == '__main__':
status, msg = activate_license(license_key)
print(status, msg)
我还帮你们问问他为什么这么牛逼。
还原很完美,理论用这个方法可以还原所有源代码。但是没必要。各位可以去试试调戏一下chatgpt,我prompt不太行。。
顺便让chatgpt帮我生成validation 的json响应,方便后面伪造响应。
知道了请求,知道了响应格式,按理说很简单,伪造响应就行了,但这里面还有一些坑。
主要就是requests的https抓包问题
抓包
工具使用:Proxifier,Fiddler
因为requests自己实现了http(s)协议的封装,没有用windows的WinInet库,只靠fiddler抓不到包,得用proxifier将流量导入fiddler
proxifier要注意两点
1. 设置[Profile] — [Name Resolution] — 勾选 [Resolve hostnames through proxy],通过代{过}{滤}理解析域名
2. 在Proxifier中添加127.0.0.1:8888的https代{过}{滤}理服务器,并设置rule让改exe走该代{过}{滤}理。
但是仅仅这样还不行,我们知道要想fiddler抓取https流量,是需要导入证书的,基于windows的,我们可以直接用fiddler安装,基于浏览器的,我们可以将证书导入浏览器
那么requests呢,是的,他内置了ssl证书,不走系统的。一般是记录在certifi文件夹下的cacert.pem文件里。
到这一步,我能搜到的网上的信息是是让我们改源代码,我啪啪一巴掌,能改源代码,我他妈还抓包啊。
当然主要还是我经验不足,后来想了想,都知道证书在哪儿了,我往里面添加fiddler证书不就可以了,将fiddler的cer转为pem,然后复制粘贴到cacert.pem,成功抓包
然后用fiddler的AutoResponder自动响应请求,成功欺骗。
但是每次运行程序都要运行proxifier和fiddler,有点ugly。。
最后,欢迎各位大佬分享一下pyinstaller打包程序的逆向想法。
Reference
pyinstxtractor
pycdc
Fiddler抓包指南:结合Proxifier工具
|